День добрый! К примеру, есть item eventlog[Security,,,Microsoft-Windows-Security-Auditing,4771,,skip] - находит failed logon.
Вид сообщения:
Хотел бы настроить оповещение на этой основе, с указанием имени и ip откуда делалась попытка входа, возможно ли это сделать на основе zabbix или же делать на линухе обработку этих логов и уже слать трапом на zabbix сервер?
Вид сообщения:
Code:
Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-4183682319-2875393666-867916287-000 Account Name: user Service Information: Service Name: krbtgt/DomainController Network Information: Client Address: ::ffff:10.192.2.242 Client Port: 4463 Additional Information: Ticket Options: 0x40810010 Failure Code: 0x18 Pre-Authentication Type: 2 Certificate Information: Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint: Certificate information is only provided if a certificate was used for pre-authentication. Pre-authentication types, ticket options and failure codes are defined in RFC 4120. If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.
Comment